Configurar registro em log da Payloads do CloudWatch Logs Políticas do IAM para registro em log no CloudWatch Logs

Como registrar usando o CloudWatch Logs

Os Fluxos de trabalho Padrão registram o histórico de execuções no AWS Step Functions, embora você possa opcionalmente configurar o registro em log no Amazon CloudWatch Logs.

Ao contrário dos fluxos de trabalho padrão, os fluxos de trabalho expressos não registram o histórico de execuções no AWS Step Functions. Para ver o histórico de execução e os resultados de um Fluxo de trabalho expressoo, é necessário configurar o registro em log para o Amazon CloudWatch Logs. A publicação de logs não bloqueia nem diminui as execuções.

nota

Quando você configura o registro em log, as cobranças do CloudWatch Logs serão aplicadas e você será cobrado de acordo com a taxa de logs vendidos. Para obter mais informações, consulte Logs vendidos na guia Logs na Definição de preço do CloudWatch.

Configurar registro em log da

Quando você criar um Fluxo de trabalho Padrão usando o console do Step Functions, ele não será configurado para ativar o registro em log no CloudWatch Logs. Um Fluxo de trabalho expressoo criado com o console do Step Functions será configurado por padrão para ativar o registro em log no CloudWatch Logs.

Para fluxos de trabalho expressoos, o Step Functions pode criar um perfil com a política do AWS Identity and Access Management (IAM) necessária para o CloudWatch Logs. Se você criar um Fluxo de trabalho Padrão ou um Fluxo de trabalho expressoo usando a API, a CLI ou o AWS CloudFormation, o Step Functions não ativará o registro em log por padrão, e você precisará garantir que o perfil tenha as permissões necessárias.

Para cada execução iniciada no console, o Step Functions fornece um link para o CloudWatch Logs, configurado com o filtro correto para buscar eventos de log específicos para essa execução.

Para configurar o log, você pode transmitir o parâmetro LoggingConfiguration ao usar CreateStateMachine ou UpdateStateMachine. É possível analisar ainda mais os dados no CloudWatch Logs usando o CloudWatch Logs Insights. Para obter mais informações, consulte Analisar os dados de log com o CloudWatch Logs Insights.

Payloads do CloudWatch Logs

Eventos do histórico de execução podem conter propriedades de entrada ou saída nas definições. Se a entrada ou saída de escape enviada ao CloudWatch Logs exceder 248 KB, ela será truncada como resultado das cotas do CloudWatch Logs.

Você pode determinar se um payload foi truncado revisando as propriedades inputDetails e outputDetails. Para ver mais informações, consulte o Tipo de dados de HistoryEventExecutionDataDetails.
Para fluxos de trabalho padrão, você pode ver o histórico completo de execução usando GetExecutionHistory.
O GetExecutionHistory não está disponível para fluxos de trabalho expressos. Se quiser ver a entrada e a saída completas, você poderá usar ARNs do Amazon S3. Para obter mais informações, consulte Use ARNs do Amazon S3 em vez de transmitir grandes cargas.

Políticas do IAM para registro em log no CloudWatch Logs

Você também precisará configurar o perfil do IAM de execução da máquina de estado para ter a permissão adequada para registrar no CloudWatch Logs, conforme mostrado no exemplo a seguir.

Exemplo de política do IAM

O exemplo a seguir é de uma política que você pode utilizar para configurar as permissões. Conforme mostrado no exemplo a seguir, você precisa especificar * no campo Resource porque as ações da API do CloudWatch, como CreateLogDelivery e DescribeLogGroups, não oferecem suporte aos tipos de recursos definidos por Amazon CloudWatch Logs. Para obter mais informações, consulte Ações definidas pelo Amazon CloudWatch Logs.

Para obter informações sobre recursos CloudWatch, consulte Recursos e operações do CloudWatch Logs no Guia do usuário do Amazon CloudWatch.
Para obter informações sobre as permissões que você precisa para configurar o envio de logs para o CloudWatch Logs, consulte Permissões de usuário na seção intitulada Logs enviados para o CloudWatch Logs


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:CreateLogStream",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutLogEvents",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        }
    ]
}

Não é possível acessar os CloudWatch Logs

Se você não conseguir acessar os CloudWatch Logs, certifique-se de ter feito o seguinte:

Configurado o perfil do IAM de execução da máquina de estado para ter a permissão adequada para registrar no CloudWatch Logs.

Se você estiver usando as solicitações CreateStateMachine ou UpdateStateMachine, certifique-se de ter especificado o perfil do IAM no parâmetro roleArn que contém as permissões, conforme mostrado no exemplo anterior.
Verificado se a política de recursos do CloudWatch Logs não excede o limite de 5.120 caracteres para as políticas de recursos do CloudWatch Logs.

Se você excedeu o limite de caracteres, remova permissões desnecessárias da política de recursos do CloudWatch Logs ou prefixe o nome do grupo de logs com /aws/vendedlogs, o que concederá permissões ao grupo de logs sem acrescentar mais caracteres à política de recursos. Os nomes dos grupos de logs criados no console do Step Functions têm o prefixo /aws/vendedlogs/states. Para obter mais informações, consulte Restrições de tamanho de políticas de recursos do Amazon CloudWatch Logs.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gravando com CloudTrail

Níveis de log